在创建新的网关时,您将自动重定向到配置网关 (Configure Gateways) 页面,您可以在此页面中为网关配置属性和其他设置。
注: 您只能配置由合作伙伴用户创建的网关或由操作员创建的合作伙伴管理的网关。
要配置现有的网关,请执行以下操作:
过程
- 在 SASE Orchestrator 的合作伙伴门户中,单击网关管理 (Gateway Management) 选项卡,然后转到左侧导航窗格中的网关 (Gateways)。
网关 (Gateways) 页面显示可用的网关列表。
- 单击需要为其配置其他设置的网关的链接。将在配置 (Configure) > Gateways (网关) 页面中显示选定网关的详细信息。
- 在概览 (Overview) 选项卡中,您可以配置以下详细信息:
字段 描述 属性 (Properties) 显示选定网关的现有名称和描述。如果需要,您可以修改该信息。 您还可以根据需要配置“网关角色”(Gateway Roles):- 数据平面 (Data Plane) - 允许网关在数据平面中运行,默认选中该复选框。
- 控制平面 (Control Plane) - 允许网关在控制平面中运行,默认选中该复选框。
- 安全 VPN 网关 (Secure VPN Gateway) - 选择该选项以使用网关建立到 非 SD-WAN 目标 的 IPSec 隧道。
- 合作伙伴网关 (Partner Gateway) - 选中该复选框以允许将网关分配为 Edge 的合作伙伴网关。如果选择该选项,请在合作伙伴网关 (高级切换) 详细信息 (Partner Gateway (Advanced Handoff) Details) 部分中配置其他设置。
- CDE - 允许网关在持卡人数据环境 (Cardholder Data Environment, CDE) 模式下运行。可以选择该选项为需要传输 PCI 流量的客户分配网关。
- 云互连 (Cloud-to-Cloud Interconnect) - 选择该选项以在 SD-WAN 网关上启用云互连 (Cloud-to-Cloud Interconnect, CCI) 隧道。
注: 如果将
session.options.enableZscalerCci
系统属性设置为True
,会显示此“网关角色”(Gateway Role) 选项。 - Cloud Web Security - 允许具有超级用户或标准角色的合作伙伴用户为 Cloud Web Security (CWS) 角色配置 SD-WAN 网关。有关更多信息,请参阅 https://docs.vmware.com/cn/VMware-Cloud-Web-Security/index.html 上发布的《VMware SD-WAN Cloud Web Security 配置指南》。
状态 (Status) 您可以配置以下详细信息: - 状态 (Status) - 显示网关的状态,该状态反映发送到 Orchestrator 的定期检测信号成功或失败。以下是可用状态:
- 已连接 (Connected) - 网关成功向 Orchestrator 发送检测信号。
- 已降级 (Degraded) - Orchestrator 在至少一分钟内未从网关收到检测信号。
- 脱机 (Offline) - Orchestrator 在至少两分钟内未从网关收到检测信号。
- 服务状态 (Service State) - 从以下可用选项中选择网关的服务状态:
- 服务中 (In Service) - 网关已连接且可用于主要或辅助隧道分配。当网关的服务状态从“服务中断”(Out Of Service) 切换到“服务中”(In Service) 状态时,可为使用该网关的每个企业重新计算主要或辅助分配、超级网关和 Edge 到 Edge 路由。
- 服务挂起 (Pending Service) - 网关已连接并等待进行隧道分配。
- 服务中断 (Out of Service) - 网关未连接或不可用于任何分配。将移除所有现有分配。
- 静默 (Quiesced) - 已静默或暂停网关服务。不能将新隧道或 NSD 站点添加到网关。不过,现有分配仍将保留在网关中。可以选择该状态以进行备份或维护。
注: 静默 (Quiesced) 和 服务中断 (Out of Service) 状态仅适用于云网关部署。
服务状态为静默 (Quiesced) 时,Orchestrator 会提供自助迁移功能,通过该功能,您可以在没有操作员支持的情况下从现有网关迁移到新网关。
有关更多信息,请参阅迁移静默网关。
注: 不支持对合作伙伴网关进行自助迁移。
- 连接的 Edge (Connected Edges) - 显示连接到网关的 Edge 数。只有在激活了网关时,才会显示该选项。
- 网关身份验证模式 (Gateway Authentication Mode) - 从以下可用选项中选择网关的身份验证模式:
- 禁用证书 (Certificate Deactivated) - 网关使用预共享密钥模式进行身份验证。
- 可选证书 (Certificate Acquire) - 默认情况下,将选择该选项,并指示网关从 SASE Orchestrator 的证书颁发机构中获取证书,方法是生成一个密钥对并向 Orchestrator 发送证书签名请求。在获取后,网关使用该证书在 SASE Orchestrator 中进行身份验证并建立 VCMP 隧道。
注: 在获取证书后,可以将该选项更新为 强制证书 (Certificate Required)。
- 强制证书 (Certificate Required) - 网关使用 PKI 证书。操作员可以使用系统属性
gateway.certificate.renewal.window
更改网关的证书续订时间段。
注: 吊销网关证书后,网关不会收到证书吊销列表 (Certificate Revocation List, CRL),因为它会立即断开 TLS 连接。无论如何,网关仍可运行。注: 当前的 QuickSec 设计会检查 CRL 时间有效性。CRL 时间有效性必须与 Edge 的当前时间匹配,这样 CRL 才能对新建立的连接产生影响。要实施此操作,请确保正确更新 Orchestrator 时间,使其与 Edge 的日期和时间相匹配。 - IP 地址 (IP Address) - 显示 Edge 的公用 WAN 链路在连接到网关时使用的公用 IP 地址。该 IP 地址用于唯一地标识网关。如果为网关同时配置了 IPv4 和 IPv6 地址,该字段将显示两个 IP 地址。
如果创建了仅 IPv4 网关,或者从先前版本升级了现有 IPv4 网关,则可以输入 IPv6 地址以支持双栈。保存更改后,不会立即将 IPv6 地址发送到 Edge。您可以触发重新均衡操作以将 IPv6 地址手动推送到客户和关联的 Edge,否则,IPv6 地址将会在下次控制平面更新期间发送到 Edge。
注: 添加 IPv6 地址是一次性活动,保存更改后,将无法修改 IP 地址。小心: 如果将配置错误的 IPv6 地址推送到 Edge,可能会导致到 IPv6 网关的 IPv6 隧道发生故障。在这种情况下,您需要停用网关并创建一个新网关,以便同时激活 IPv4 和 IPv6 地址。
联系人和位置 显示现有的联系人详细信息。如果需要,您可以修改该信息。 Syslog 设置 (Syslog Settings) 从 4.5 版本开始,网关可以通过远程 syslog 服务器或 Telegraf 将 NAT 信息导出到所需的目标。有关更多信息,请参阅在 https://docs.vmware.com/cn/VMware-SD-WAN/index.html 发布的《VMware SD-WAN 操作员指南》中的“为网关配置 NAT 条目 syslog”一节。 客户使用情况 显示分配给客户的不同类型的网关的使用情况详细信息。 池成员资格 显示将当前网关分配到的网关池的详细信息。 “合作伙伴网关 (高级切换) 详细信息”(Partner Gateway (Advanced Handoff) Details) 仅当选中合作伙伴网关 (Partner Gateway) 复选框时,此部分才可用。您可以为合作伙伴网关配置高级切换设置。有关详细信息,请参阅下面的合作伙伴网关(高级切换)详细信息 (Partner Gateway (Advanced Handoff) Details) 部分。 Cloud Web Security 如果启用了 Cloud Web Security 网关角色,则可以在此部分为 Cloud Web Security 配置通用网络虚拟化封装 (Geneve) 端点 IP 地址和接入点 (Points-of-Presence, PoP) 名称。 合作伙伴网关 (高级切换) 详细信息 (Partner Gateway (Advanced Handoff) Details)您可以为合作伙伴网关配置以下高级切换设置。
选项 描述 静态路由 | 子网 (Static Routes | Subnets) - 指定 SD-WAN 网关 应向 SD-WAN Edge 通告的子网或路由。这是每个 SD-WAN 网关 的全局配置,适用于所有客户。对于 BGP,只有在所有客户需要访问共享子网并且需要进行 NAT 切换时,才会使用该部分。 如果您没有需要向 SD-WAN Edge 通告的任何子网,并且切换类型为 NAT,请从静态路由列表中移除未使用的子网。
您可以单击 IPv4 或 IPv6 选项卡,为“子网”(Subnets) 配置相应的地址类型。
子网 (Subnets) 输入网关应向 Edge 通告的静态路由子网的 IPv4 或 IPv6 地址。 成本 (Cost) 输入在路由上应用权重的成本。范围是 0 到 255。 加密 (Encrypt) 选中该复选框以对 Edge 和网关之间的流量进行加密。 切换 (Hand off) 选择 VLAN 或 NAT 以作为切换类型。 描述 (Description) (可选)输入静态路由的描述性文本。 ICMP 探测和 Ping 响应程序设置 (ICMP Probes and Ping Responders Settings) ICMP 故障切换探测 (ICMP Failover Probe) - SD-WAN 网关 使用 ICMP 探测检查特定 IP 地址的可访问性;如果无法访问该 IP 地址,则通知 SD-WAN Edge 故障切换到辅助网关。此选项仅支持 IPv4 地址。 VLAN 标记 (VLAN Tagging) 从下拉列表中选择 VLAN 标记以应用于 ICMP 探测数据包。以下是可用选项: - 无 (None) - 未标记
- 802.1q - 单 VLAN 标记
- 802.1ad/QinQ(0x8100)/QinQ(0x9100) - 双 VLAN 标记
目标 IP 地址 (Destination IP address) 输入要执行 ping 操作的 IP 地址。 频率 (Frequency) 输入发送 ping 请求的时间间隔(以秒为单位)。范围是 1 到 60 秒。 阈值 (Threshold) 输入将路由标记为无法访问之前未收到 ping 回复的次数。范围是 1 到 10。 ICMP 响应程序 (ICMP Responder) - 允许 SD-WAN 网关 在隧道启动时响应来自下一跃点路由器的 ICMP 探测。此选项仅支持 IPv4 地址。 IP 地址 (IP address) 输入将响应 ping 请求的虚拟 IP 地址。 模式 (Mode) 从下拉列表中选择以下模式之一: - 条件 (Conditional) - 只有在启动了 SD-WAN 网关 服务并且启动了至少一个隧道时,该网关才会响应 ICMP 请求。
- 始终 (Always) - SD-WAN 网关 始终响应来自对等体的 ICMP 请求。
注: ICMP 探测参数是可选的;只有在您希望使用 ICMP 检查 SD-WAN 网关 的运行状况时,才建议使用这些参数。通过合作伙伴网关上的 BGP 支持功能,不再需要使用 ICMP 探测来进行故障切换和路由聚合。有关为合作伙伴网关配置 BGP 支持和切换设置的更多信息,请参阅 配置合作伙伴切换。 - 在配置所需的详细信息后,单击保存更改 (Save Changes)。